Web 認証で SSL を使用する場合の注意事項 - Web 認証に関する注意事項

6. 注意事項

6.2. Web 認証に関する注意事項

6.2.10. Web 認証で SSL を使用する場合の注意事項

5.1.1. 外部Webサーバ構築の注意点

（１）プロキシサーバについて

プロキシサーバを使用する場合には、端末側のプロキシ設定にプロキシ除外アドレスとして、

外部 Webサーバの IPまたはホスト名および、認証専用 IPアドレスまたはホスト名を登録してください。

（２）スイッチへの認証画面も残したい場合

認証スイッチの認証画面（login.html）を外部サーバへのジャンプするファイルに置き換えたことにより、外部Webサーバを経由せずに認証画面を表示することができません。

そのため外部 Web サーバの障害等に備え認証スイッチ内に認証画面を残す場合は別ファイル名（例：login2.htm）として残してください。

（AX2500Sで外部Webサーバのポーリング指定を設定した場合は、障害時はスイッチへの

5.1.2. Webサーバ上のhtmlファイルの設定例

外部Webサーバ上のログインhtmlファイルの設定例を以下に示します。

認証画面の編集の詳細はマニュアル「コンフィグレーションガイド Web認証画面設定手引き」

を参照して下さい。

（デザインについてはスイッチの初期値の認証画面の例で示していますユーザで任意のデザインに変更してください。）

（１）ログイン設定

（２）ログアウト設定

<br>

Please enter your ID and password.<br>

<br>

<tr>

<td>password</td>

</tbody></table>

<br>

</form>

<br>

host名

スイッチの認証IPのホスト名を指定

<tbody>

host名

スイッチの認証IPのホスト名を指定

（３）認証前にアクセスしていたURLへ認証成功時に自動表示する場合（AX2500Sのみ）

AX2500Sでは、認証前にアクセスしようとしていたURLへ認証成功時に直接ジャンプする機能を

追加しまた、外部WebサーバにWeb認証ページをおく場合には以下の設定を行ってください。

① URLリダイレクト時リダイレクト前のURL を外部Webサーバへ渡す設定をコンフィグレーションコマンドで投入します。

(config)#web-authentication redirect queries original-url

本設定でリダイレクト時にジャンプ先のサーバへ引数として以下を渡します。

original-url=リダイレクト前URL

② 認証成功後リダイレクト前URLへジャンプする設定をコンフィグレーションコマンドで設定します。

(config)#web-authentication jump-url original

本設定により認証時のPOSTでoriginal-url引数に渡されたURLへ認証成功時にジャンプします。

③ 外部Webサーバのログインページに認証時のスイッチへのPOSTでoriginal-url引数に①で渡されたリダイレクト前URL情報を代入してPOSTしてください。

（詳細）

下記に示す例のように，認証端末から本装置へのPOST データにoriginal_url=xxx ※が含まれるようにしてください。

• POST データにoriginal_url=xxx ※を含むための設定例外部Web サーバが認証端末に送信するログイン画面の

<form> 内に，<input type=hidded name="original_url" value=xxx ※ > と記述します。

注※ xxx の値は，自動付加クエリのoriginal-url からPHPなどのスクリプトなどを用いて POST時の"original_url"のvalueに設定してください。

なお，URLリダイレクトで表示された場合ではなく、直接本装置のWeb 認証専用IP アドレスや本装置のIP アドレスを直接指定して認証を開始した場合は，認証成功後にログイン成功画面だけ表示します。

外部Webサーバではなく本装置を認証画面とする場合には③のPOST部分の設定が異なります<form>内にWeb 認証固有タグ を記載してください。本装置の初期のログインページにはが追加されています。

詳細については、コンフィグレーションガイドVol2を参照してください。

WindowsのVer違いにより IEEE802.1Xサプリカントの動作仕様の違いによる構築上の注意点につい

て詳細に説明します。まずOSの動作差分を解説します。

6.1.2.1. WindowsのIEEE802.1Xサプリカント動作差分の解説

WindowsのIEEE802.1Xサプリカントの動作について、以下に示す違いがあります。

表 6.1-1 WindowsのIEEE802.1Xサプリカントの動作差分

項番

サプリカント動作

Windows XP(SP2)

Windows 8 Windows 7 Windows Vista Windows XP(SP3) 1 認証開始動作認証スイッチ側から送信される

EAP-Request/Identity パケット受

信時に、IEEE802.1X認証を開始し

ます。⁽^注¹⁾

通信回線のリンクアップ、またはログオン時に、EAPOL-Startを自ら送

信し IEEE802.1X 認証を開始しま

す。

2 端末検出モードshortcut設定時における動作

（EAP-Request を受信した時の挙動）

端末検出モード shortcut設定時の認証シーケンスを完了した後、

EAPOL-Start を送信する事はあり

ません。⁽^注¹⁾

端末検出モードshortcut設定時の認証シーケンスを完了した後、自発的

にEAPOL-Startを送信します。この

ため、RADIUSサーバへの問い合わ

せが周期毎に実施されます。

(_注1)

Windows XP（SP2）の場合は、Windows XP（SP2）へのバージョンアップを行ってください。

（１）認証開始動作の違い

Windows XP(SP2)の場合

以下のシーケンス図に示すように、IEEE802.1X認証機能を有効化しても、Windows XP(SP2)は認証を開始しません。認証スイッチ側から端末検出用に送信されているEAP-Request/Identityを受信した時点で認証を開始します。

図 6.1-1 Windows XP(SP2)認証開始シーケンス

ただし、レジストリ設定でIEEE802.1Xサプリカントモードを変更する事で、Windows XP(SP2)側から接続開始をさせる事が可能です。変更方法は、4.1.3章を参照下さい。

Windows XP(SP2)からの接続開始を有効化した場合、端末検出パケットの受信を待たずに即座にネットワーク利用が可能となります。

端末検出モードを auto で使用した場合は端末の接続を検出後に EAP-Request/Identityはユニキャストで送信します。

Windows XP(SP2) IEEE802.1X認証スイッチ（AX） RADIUSサーバ

EAP-Request/Identity EAP-Response / Identity

IEEE802.1Xの各ユーザ認証を RADIUS サーバへ問い合わせを実施し、認証成功

したら、スイッチ側で通信許可を実施する。

EAP-Success

自分から認証開始しないIEEE802.1X認証端末に対して認証開始を促すため、

初期値の場合EAP-Request/Identityをマルチキャスト送信する。

Windows Vista以降/ Windows XP(SP3)の場合

以下のシーケンス図に示すように、Windows Vista以降 / Windows XP(SP3)はネットワークに接続し

た時点でEAPOL-Startを自ら送信し認証を開始します。

図 6.1-2 Windows Vista / Windows XP(SP3)認証開始シーケンス

（２）端末検出モードshortcut設定時における動作の違い

IEEE802.1X認証のサプリカントには、自らEAPOL-Startを送信して接続開始を実行しないものがあ

ります。端末検出機能とは、周期的にEAP-Request/Identityをマルチキャスト送信することで、そのような自発的に認証開始を行わない端末の認証開始を誘発する機能です。AX シリーズでは、デフォルト

でEAP-Request/Identityを一定間隔で送信し続けます。

端末検出モードには、full、shortcut、disable autoの4つのモードがあります。shortcutモードは、認証済み端末からの応答には認証シーケンスを一部省略する機能です。これにより、認証単位当たりの端末数が増えた場合、EAP-Request/Identityに応答した端末の認証処理における装置の負荷を低減します。

しかしWindowsは下記のようにOSによってはshortcutでは負荷を回避できません。

端末検出モードshortcut設定時におけるWindowsの動作

端末がWindowsの場合の認証シーケンスを以下に示します。

Windows Vista 以降 / Windows XP(SP3)は端末検出用の EAP-Request/Identity を受信した場合、

shortcut 設定時の認証シーケンスが完了して EAP-Success を受信しても、EAPOL-Start を送信して

RADIUSとの全認証シーケンスを完結しようとします。

このため、端末検出モードがshortcut設定であってもRADIUSサーバへ毎回問い合わせを実施する事 Windows Vista以降

Windows XP(SP3) IEEE802.1X認証スイッチ(AX) RADIUSサーバ

EAP-Request/Identity EAP-Response / Identity

IEEE802.1X認証をRADIUSサーバへ問い合わせて、認証成功したら、スイッチ側

で通信許可を実施する。

ＥAP-Success EAPOL-Start

EAPOL-Startを受信すると、送信してきた端末に

対し EAP-Request/Identityをユニキャスト送信する事で、認証動作を開始する。

になります。

図 6.1-3 端末がWindows Vista / Windows XP(SP3)で既に認証済みである場合の認証シーケンス

端末検出時間 tx-period を 18 秒以下に設定した場合、Windows Vista 以降/ Windows XP(SP3)は

EAPOL-Startを送信する事ができなくなり、1分後に認証動作を停止します。

このため、端末検出時間tx-periodは18秒以下に設定しないで下さい。

マルチキャストによる端末検出動作による負荷を回避するために端末検出モード auto がサポートされています。

デフォルト値はshortcutですがautoで運用することで、マルチキャストによる端末検出を行わず、

Windows Vista以降

Windows XP(SP3) IEEE802.1X認証スイッチ(AX) RADIUSサーバ

EAP-Response / Identity

ＥAP-Success

Windows Vista / Windows XP(SP3)は、 EAP-Success を受信したにも関わらず EAPOL-Startを送信する

EAPOL-Start

EAP-Request/Identity EAP-Response / Identity

EAPOL-Startを受信すると、認証済みの端末であっても IEEE802.1X認証の全シー

ケンスをRADIUSサーバと端末間で実施する。

ＥAP-Success 18秒

EAP-Request/Identity

すでに認証済み端末に対してはTLSなどのRADIUSサーバとのシーケンスを省略し成功EAP-Successを返す

6.1.4. RADIUSサーバ冗長化に関する注意事項

RADIUSサーバを冗長化する場合は、接続するRADIUSサーバ数を考慮して応答待ち時間を短く設定

して下さい。

RADIUSサーバを2台以上設定すると、コンフィグレーションに設定された順にRADIUSサーバにア

クセスします。1 台目の RADIUS サーバから応答待ち時間を過ぎても反応がない場合、その RADIUS サーバはダウンしていると判断して、2台目のRADIUSサーバへアクセス開始します。RADIUSサーバの応答待ち時間は、以下の式から算出されます。

RADIUSサーバの応答待ち時間

＝サーバからの応答タイムアウト時間×サーバに認証要求を再送信する回数

この式より、デフォルトの応答待ち時間は約20秒となります。

（１） IEEE802.1X端末がWindows Vista以降である場合

RADIUSサーバを2台設定して、1台目のRADIUSサーバがダウンした場合の認証シーケンスを以下

に示します。

EAPOL-Start

Windows Vista IEEE802.1X認証スイッチ(AX)

18秒

RADIUSサーバ#1 RADIUSサーバ#2

20秒

×

EAPOL-Startを受信すると、最初

から認証処理を開始する。

ドキュメント内認証ソリューションガイド (ページ 123-145)